背景
Shadow Brokers黑客组织上周泄露了NSA方程式组织的一些工具,其中名为DoublePulsar的后门程序可利用部分Windows系统(Windows XP,Windows Server 2003,Windows 7和8以及Windows 2012)漏洞进行恶意代码注入及运行。
由于此批工具可被世界各地的脚本小子及在线犯罪分子利用,全世界数十万暴露在互联网上的Windows计算机正在受到威胁。据多名安全专家的互联网扫描显示,该次事件可能影响数万Windows系统计算机。
DoublePulsar
DoublePulsar是一个后门程序,用于在已感染的系统上注入和运行恶意代码。这是一种NSA用作监听使用的后门程序,如今在GitHub上得到免费发布后,任何人均可使用。其软件是在Windows XP到Server 2008 R2系统版本中的计算机上,通过使用EternalBlue Exploit的SMB文件共享服务端口启动旧版本下的远程执行代码RCE,随后进行程序的安装。也就是说,会受到攻击影响的计算机系统是存在漏洞的Windows版本,因为这给攻击者提供了其SMB端口。
测试工具
现在也出现了一款免费工具,可以用以测试计算机是否感染DoublePulsar软件。Countercept安全公司的安全研究员Luke Jennings开发了这款工具。脚本可以从Github上进行下载,使用者需要具备一些基本的编程知识。
Jennings表示,他分析Doublepulsar与其服务器的数据交换后开发了这款工具,通过识别端口445对一种特殊ping的响应可以得到检测结果。当然他最初的意图并不是以此来扫描全网受感染的机器,而只是用来帮助企业识别自己的网络中遭受感染的情况。
在推特上现在有很多的讨论,人们在质疑这个脚本的正确性,因为检测出“太多”遭受感染的系统。
——Luke Jennings
但事实是,即使人们对于这个检测结果感到多么的不可置信,也并没有人能够拿出证据证明这个脚本写错了。
事态恶化
微软迅速发布了针对漏洞的补丁,以此消弭安全隐患。但那些不受支持或还没来得及安装补丁的系统依旧处在危险之中。
多名安全研究人员就在过去几天里,进行了互联网扫描。结果发现全球数万台Windows计算机感染了DoublePulsar程序。
而来自瑞士Binary Edge安全公司的研究人员进行了互联网扫描,并检测到超过107,000台Windows计算机感染了DoublePulsar程序。
来自Errata Security的首席执行官Rob Graham也进行了一个独立的扫描检测。结果显示,存在大约41,000台受到感染的计算机,另有来自Below0day的研究人员检测到超过30,000台受感染的设备,其中大部分位于美国。
Below0Day,一家渗透测试公司,在Twitter发布了受到DoublePulsar程序影响最严重的前25个国家及地区,以美国为首约为11,000台计算机受到感染。而在其他国家如英国,中国台湾地区及德国也都有超过1,500设备受到感染。
受到DoublePulsar程序影响最严重的前25个国家及地区
事件影响
DoublePulsar和EternalBlue都被认为是方程式组织所有的工具,现在任何脚本小子却可以随意下载并用来攻击计算机。一旦安装在计算机上,DoublePulsar会劫持计算机安装恶意软件,发送垃圾邮件给用户,并对其他受害者发起进一步的网络攻击。程序为了保持其隐蔽性,并不会在本地写入任何文件,以此避免计算机重启后的文件残留。
虽然公司已经修复了受影响的Windows系统中多数漏洞,但是那些没有打补丁的计算机很容易遭受到EternalBlue,EternalSampion,EternalSynergy,EternalRomance,EmeraldThread和EducatedScholar等exploit的攻击。
此外,用户如果使用的系统是已停止安全更新服务的Windows XP,Windows Server 2003和IIS 6.0系统,也会在应对这些exploit的攻击时表现得十分脆弱。
由于黑客进行Shadow Brokers转储包的下载,进行互联网扫描,并发起exploit攻击的过程需要花费数个小时,研究人员认为受到漏洞攻击的计算机会比实际报告中的更多。
在此次新闻爆出之后,微软官方发表了声明称:
我们怀疑这些报告的准确性,现在正处在调查中。
与此同时,强烈建议至今为止尚未应用MS17-010更新的Windows用户尽快下载并部署补丁。
用户也可以通过前文所提到的测试工具自行查看受否受到DoublePulsar影响。
测试工具下载地址 https://github.com/countercept/doublepulsar-c2-traffic-decryptor